Twitter comble la faille XSS… corrigée le mois dernier

Twitter a corrigé l’attaque XSS qui a sévit quelques heures sur son réseau. Les données personnelles ne sont pas affectées, selon l’éditeur.

Victime de son succès, Twitter ne cesse d’attirer les hackers. Alors que l’on apprenait la semaine dernière que le compte Twitter du ministère des Affaires étrangères (@francediplo) avait fait l’objet d’un piratage, le service de micro-blogging est aujourd’hui victime d’une nouvelle faille de sécurité.

Cette faille touche les utilisateurs du service Web de Twitter. Bon nombre d’entre eux peuvent ont pu voir apparaître sur leur flux d’actualité des «tweets» malicieux. Quand le curseur de la souris est passé sur ce mini-message infecté, des lettres géantes et des bandes noires apparaissent sur l’écran de l’utilisateur, sans pouvoir disparaître. L’internaute se retrouve bloqué : il n’a ainsi plus accès à son profil.

Plus vicieux : ces tweets infectieux se répandent comme des virus sur Twitter, à l’insu des utilisateurs. En effet, lorsqu’un internaute survole à l’aide de sa souris un de ces mini-messages indésirables, celui-ci est automatiquement répliqué et renvoyé vers les abonnés à son profil. Avec les conséquences d’une propagation exponentielle qu’on imagine facilement.

Twitter déclare avoir réglé le problème. « A 7 heures (heure de la côte pacifique), le problème principal était résolu. Et à 9h15, un problème mineur mais lié à l’hovercards [la carte du profil qui s’affiche au survol de la souris sur le nom, BDLR] était également résolu », annonce Twitter. En tout, la faille aura été exploitée pendant quelques heures.

Le site de micro blogging ajoute qu’il s’agissait d’une attaque par cross site scripting (XSS) qui vise à exploiter le code malsain d’un site extérieur dans une page «saine». « Nous avions découvert et corrigé cette vulnérabilité le mois dernier. Toutefois, une mise à jour récente du site (sans rapport avec Twitter) lui a permis de refaire surface », ajoute la plate-forme.

Selon les responsables, seul le site Twitter.com a été affecté par la faille. Ni les versions mobiles du site ni les applications ne sont concernées. Par ailleurs, Twitter précise ne pas avoir connaissance de conséquences éventuelles sur les systèmes des victimes, lesquelles pourraient cependant voire traîner des retweets involontaires quelques temps. Enfin, la plate-forme assure qu’il n’est pas nécessaire de modifier les mots de passe étant donné que les données personnelles n’ont pas été compromises par l’attaque. Ce qui n’empêche pas de le renouveler de temps à autre.